인공지능(AI) 기술 확산은 공격자 환경에 직접적인 변화를 가져왔다. 자동화된 공격 도구와 AI 기반 스캐닝, 취약점 분석 기법이 확산되면서 공격의 진입 장벽은 낮아졌다. 반면 전개 속도와 정교함은 크게 증가했다. 단순 탐지 회피를 넘어 정상 행위와 구분하기 어려운 공격 패턴이 늘어나면서 보안관제 환경 역시 기존 룰 기반 탐지 중심 구조로는 한계에 직면하고 있다.

이에 따라 보안관제의 초점은 개별 이벤트 탐지를 넘어, 대규모 이벤트 집합 속에서 공격의 연쇄적 흐름과 행위를 식별하고 대응하는 방향으로 이동하고 있다. 방대한 로그와 이벤트를 실시간으로 상관 분석하고 공격 단계별 맥락을 파악해 선제적으로 대응할 수 있는 능력이 관제 체계의 핵심 요건으로 부상하고 있다.

SK쉴더스의 사이버보안 관제센터 ‘시큐디움(Secudium)’은 일평균 10~11테라바이트(TB), 약 160억~200억건에 달하는 보안 이벤트 데이터를 처리하고 있다. 이 가운데 실제 위협 가능성이 있는 이벤트는 일일 400만~700만건 규모로, 대규모 데이터 처리와 정밀 탐지를 동시에 수행할 수 있는 AI 기반 관제 아키텍처의 중요성이 더욱 커지고 있다.

SK쉴더스는 시큐디움을 AI 기반 관리형 탐지·대응(MDR, Managed Detection & Response) 관점으로 고도화해, 네트워크부터 엔드포인트까지 다양한 보안 장비에서 수집된 위협 이벤트를 단일 플랫폼에서 통합 분석하는 구조를 구현했다. 개별 솔루션에서 발생하는 단편적인 로그를 단순 집계하는 방식이 아니라, 서로 다른 보안 지점에서 발생한 이벤트 간 관계성과 시간 흐름을 분석해 하나의 공격 시나리오로 재구성한다.

이를 통해 공격 전 정찰부터 내부 확산, 데이터 접근 및 유출 시도에 이르기까지 공격 전개 흐름을 단계별로 식별할 수 있으며, 단일 이벤트 기준 탐지에서 발생할 수 있는 오탐·미탐 리스크를 최소화했다. 공격의 ‘행위’와 ‘맥락’을 중심으로 위협을 판단하는 방식으로, 고도화된 은닉형 공격이나 다단계 공격 탐지에 대응하고 있다.

또한 시큐디움은 보안 오케스트레이션·자동화·대응(SOAR, Security Orchestration, Automation and Response) 기반 자동화 체계를 적용해, 탐지 이후 대응 단계까지 연결되는 프로세스를 자동화했다. 위협 탐지 시 사전 정의된 플레이북에 따라 IP 차단, 계정 제어, 시스템 격리, 관리자 알림 등의 조치가 자동으로 수행된다.

이를 통해 초기 대응 시간을 단축하고, 반복적이고 규칙 기반 대응 업무는 자동화함으로써 관제 인력은 고난도 위협 분석과 의사결정에 집중할 수 있는 환경을 구축했다. 특히 유사 패턴 공격이 대량으로 발생하는 환경에서도 안정적인 대응 품질을 유지할 수 있도록 운영 효율성을 높였다.

플랫폼 성능 측면에서도 대폭적인 개선이 이뤄졌다. 시큐디움은 핵심 로그 처리 엔진을 고도화해 초당 수십만 건 이상의 이벤트를 실시간으로 분석할 수 있는 처리 구조를 확보했다. 네트워크 로그, 엔드포인트 로그, 클라우드 등 서로 다른 유형의 로그를 단일 분석 체계에서 상관 분석할 수 있도록 데이터 처리 파이프라인을 재설계했다.

이를 통해 단일 지점에서 발생한 이상 행위가 아닌, 여러 보안 영역에 걸쳐 발생하는 공격 징후를 하나의 흐름으로 식별할 수 있으며, 대규모 트래픽 환경에서도 지연 없이 탐지 성능을 유지할 수 있다.

관제 정밀도 역시 한층 고도화됐다. 단일 이벤트가 아닌 사용자 행위와 이벤트를 종합 분석하는 방식으로 전환하면서 불필요한 경보를 줄이고 실제 위협을 선별하는 체계를 마련했다. 시큐디움과 다양한 엔드포인트 위협 탐지·대응(EDR, Endpoint Detection & Response) 솔루션과 연동해 엔드포인트까지 대응 범위를 확장하며, 네트워크·엔드포인트·서버 영역을 아우르는 통합 관제 환경을 구현했다. 이를 통해 공격 탐지 이후 단말 단위까지 즉각적인 대응이 가능한 구조를 갖췄다.

SK쉴더스가 발간한 EQST 헤드라인 리포트 4월호에 따르면, AI는 보안관제 효율을 높이는 핵심 기술이지만 실제 위협 대응 과정에서는 분석 결과에 대한 사람의 판단과 검증이 필수적이라고 강조하고 있다. 

이는 AI 관제 고도화가 보안 전문가의 역할을 축소하는 것이 아니라, 반복적인 확인 중심의 업무에서 벗어나 판단과 개선에 집중하는 단계로 전환되고 있음을 의미한다. 전문 인력은 위협의 원인 분석과 재발 방지 대책 수립, 탐지 정책 및 대응 시나리오 고도화, 관제 운영 품질 관리 등 보다 고부가가치 영역에 역량을 집중하게 된다.

SK쉴더스는 이러한 방향성에 맞춰 AI 분석 체계에 보안 전문가의 실전 대응 경험을 결합한 하이브리드 운영 모델을 적용하고 있다. 분석 결과에 대한 책임과 승인 경로를 명확히 하고, 대응 성과를 검증할 수 있는 운영 체계를 함께 설계함으로써 AI 기반 관제의 신뢰성과 실효성을 동시에 높이고 있다.

시큐디움은 관제 인력과 침해사고 대응을 담당하는 침해사고대응팀(CERT) 조직이 유기적으로 연계된 구조로 운영되며, 평균 15분, 최대 1시간 이내의 신속한 대응 체계를 유지하고 있다. 이를 통해 AI 탐지 결과를 즉각적으로 검증하고 실제 조치로 연결함으로써, 기술과 사람의 판단이 결합된 안정적인 보안관제 운영을 구현하고 있다.

SK쉴더스 관계자는 “AI 기반 보안관제의 경쟁력은 단순 탐지가 아니라 방대한 데이터를 실시간으로 분석해 얼마나 정확하게 대응까지 이어갈 수 있느냐에 달려 있다”며 “시큐디움 AI 고도화를 통해 대규모 환경에서도 일관된 탐지·대응 체계를 지속적으로 고도화해 나갈 것”이라고 말했다.

김광연 기자
fun3503@chosunbiz.com

• ‘손목 위 주치의’…삼성·애플, 치열해진 워치 헬스케어 경쟁
• SK스퀘어, 1Q 영업익 8.2조 ‘사상 최대’ 
• 한투증권 1분기 순이익 7847억원 전년比 75% 증가
• 245조 놓고 머스크·올트먼 법정 폭로전 벌어져
• 아이티센엔텍, 과천 아동 대상 AI 교육 특강